自《数据安全法》和《个人信息保护法》正式出台,越来越多企业在数据收集、数据传输等环节产生法律合规需求。其中人力资源部门往往需要处理大量的个人信息(含敏感个人信息)。尤其在近年来数字化招聘已经成为企业招聘的主流场景,雇主企业、招聘平台、猎头以及第三方供应商要如何迎接《个人信息保护法》以及配套法律法规带来的全新挑战成为实践中广泛关注的问题。对此,大成北京办公室高级合伙人邓志松律师在日前的直播活动中,针对在华跨国企业的数字化招聘环节,分析了相关法律监管风险,并给出了相应实务建议。以下为邓律师直播内容的分享整理。
人力资源管理不仅是企业管理体系的核心功能,也是获得持续竞争力的关键所在。在数字技术高速发展和个人信息保护体系不断完善的背景下,很多企业都将人力资源管理数字化转型提升到新的高度,但伴随而来的还有诸多亟待解决的挑战和困境。
第一,数据安全保护体系日趋完善给数字化招聘奠定合规标准。随着大数据、人工智能、物联网等新兴技术的快速发展,数据已经成为重要的生产要素,在经济社会各领域发挥着越来越重要的作用。数据流通目前已经从最初的数据包为主的1.0时代,跨过以API接口方式交互数据的2.0时代,进入基于安全合规和隐私计算基础之上的3.0时代。数据安全治理也逐渐被提升到国家安全治理的战略高度,国家、地方省市、各行业监管部门不断出台相关法律法规。目前,我国已经形成《网络安全法》《个人信息保护法》《数据安全法》等法律构建的个人信息保护和数据安全基本法律框架,其他配套的法律法规也在陆续出台中。
第二,《个人信息保护法》给数字化招聘的复杂应用场景带来合规风险。《个人信息保护法》的颁布实施为人力资源管理过程中个人信息收集、处理等活动提供了实践规范和法律依据,但同时也带来了企业合规风险。其中在疫情期间迅速发展的数字化招聘便涉及从职位发布、简历收集到面试甄选、入职管理等多重个人信息应用场景,邓律师将复杂的场景整理为收集、使用、存储、出境四个环节,并指出了其中的合规风险:
第三,跨境管理中的多法域冲突给数字化招聘提出调和性合规要求。企业跨境管理涉及国家之间、国家与地区之间、国际组织之间、个人之间等相互合作,共同处理跨境事务,其中不同法律法规体系间的冲突难以避免。邓律师以欧盟为例,讲解了跨国企业的人力资源管理部门或平台,不论是在境内收集信息往境外传输,还是从境外向境内输送信息,都必须满足各法域所要求的《个人信息保护法》、《通用数据保护条例》等数据跨境传输协议及隐私政策。因此,邓律师强调如何调和不同法律体系之间的关系,使之能够顺利运作并达到共同利益最大化,是企业处理跨境事务需要重视的问题。
在环顾人力资源管理面临的新挑战后,邓律师基于法律专业知识和实务经验,特别聚焦于企业数字化招聘中的法律监管风险给出了提示。
第一,企业进行合规操作应分清规定的法律主体。《个人信息保护法》中包含个人信息主体、个人信息处理者、个人信息受托方三类法律主体,正确区分法律主体对于企业合规操作,有重大的意义和影响。个人信息主体,是行使一系列权利的主体,角色较为明确。至于如何判断一个主体属于处理者还是受托方,邓律师表示主要依据其能否自主决定收集信息的目的范围和存储期限。具体到招聘环节,提供独立求职招聘平台服务的APP通常属于数据的处理者,而软件和系统服务的供应商通常属于受托方。而不同法律主体决定了其负有个人信息保护法律责任的不同。
第二,企业处理个人信息应满足合法性基础要求,并具备数据安全能力。在招聘场景中处理个人信息,主要涉及两项合法性基础:
- 基于个人同意处理个人信息:这是招聘场景下最常见的合法性基础。该同意应当由个人在充分知情的前提下自愿、明确作出。
- 依照个保法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息:此种情形对应自动爬取应聘者在网站上发布的简历信息场景。但是,该项合法性基础存在例外,当个人明确拒绝企业对其公开信息进行处理时,此类合法性基础不复存在。此外,处理已公开的个人信息,对个人权益有重大影响的,应当取得个人同意。
《个保法》还对雇主、招聘平台、猎头以及第三方供应商数据安全能力提出了要求:企业应在内部制定管理制度和操作规程,对个人信息实行分类管理;在信息处理环节采取加密、去标识化等安全技术措施,合理确定处理的操作权限;并提前制定、组织个人信息安全事件应急预案,定期开展安全教育和培训。
第三,当企业或个人触犯法律法规时应承担相应的法律责任。在这个部分,邓律师详细解读了触犯相关法律将会面临的刑事、行政以及民事方面法律责任。如侵犯公民个人信息,情节严重者,最高会被判处七年有期徒刑;行政处罚包含暂停营业或吊销营业执照等,如果个人负有责任也会在一定期限内被禁止担任企业管理层职位;民事责任方面除面对个人信息主体索赔外,可能还会面临人民检察院、相关组织提起的公益诉讼。
第四,企业应注意数据存储地选择带来的数据出境合规问题。邓律师指出不同的数据存储地也会有不同的法律监管政策,不同数据存储地选择也会影响企业数据出境合规义务。如果数据存储地为母国,合规重点则会聚焦于本地法律法规,在需要出境的场景下才会涉及出境合规;如果数据存储地为东道国,由于数据出境活动的频繁,企业需要同时重视本地合规和出境合规。并且,关键信息基础设施运营者或处理个人信息达到国家网信部门规定数量的个人信息处理者在《个保法》下面临数据本地化的要求,不可选择东道国为数据存储地。
随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同办法》相继发布实施,《个保法》中所述的个人信息跨境传输合规的三条主要路径规则已大致清晰。
路径一,通过国家网信部门组织的安全评估。《数据出境安全评估办法》正式稿的出台,标志着历经三次征求意见后,数据出境安全评估的要求终于得以明确。同时,该办法将个人信息与重要数据的出境规则合并规定,也标志着2017年以来一度分立的个人信息和重要数据出境规则回归统一监管。根据该办法第四条,下述特定数据出境主体或活动,应当采用向企业所在地省级网信部门申报安全评估:
- 关键信息基础设施运营者(“CIIOs”)
- 处理100万人以上个人信息的数据处理者
- 自上年1月1日起累计向境外提供10万人个人信息或1万人敏感个人信息的数据处理者
- 国家网信部门规定的其他需要申报数据出境安全评估的情形
路径二,按照国家网信部门的规定经专业机构进行个人信息保护认证。认证认可制度是一种国内外通用的第三方评价制度,一般情况下,是由具有专业能力的第三方机构,以一定的标准和技术规范为依据,对产品、服务或者企业的管理体系、人员能力进行评价,社会可根据评价结果对企业进行评判。根据最新指南,认证的适用不再限于关联公司之间的个人信息跨境处理活动,而是与标准合同的适用范围保持了一致。
路径三,按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利和义务。签订标准合同这一路径与数据出境安全评估互为补集,前者的条件上限与后者的条件下限能够完整对应。新出台的《个人信息出境标准合同办法》将于2023年6月1日生效,标准合同预期会成为实践中最受欢迎、应用最广的个人信息出境路径。
《个保法》与《数据安全法》《网络安全法》一起,共同构成我国企业应遵循的个人信息保护和数据安全合规义务基础体系,相关严密的监督监管流程也已形成。跨国运营企业应尽快针对最新的法律法规调整自身业务、产品,并将视野放远至整个合规体系层面。对此,邓律师也给出以下实务建议:
第一,平衡监管风险与商业运营需求。在对多司法辖区个人信息保护合规要求进行分析、理解的基础上,结合自身行业数据类型、商业运营需求与相应人才招聘需求,合理评估合规成本与公司收益,并设计相应的合规架构。
第二,有效、系统管控国内外法律风险。针对特定人才招聘需求,寻求专业法律咨询,分析企业目前面临的法律风险敞口,并通过合规工作最小化相关个人信息保护法律风险。
第三,完善委托协议与企业合规体系。审查企业与第三方合作协议中关于应聘者个人信息保护的条款,根据《个保法》要求进行完善。同时从制度和日常运营层面健全企业个人信息保护合规体系。
Moka作为HR SaaS 服务供应商始终坚持以国家信息安全法律、法规、标准、规范为根本依据开展公司信息安全合规工作,并定期对Moka信息安全管理制度的全面性、适用性和有效性进行论证和审定,不断更进和修订相关细则。Moka 的产品安全团队和数据安全团队也将持续为企业客户打造稳定、安全、高效的人力资源管理系统云服务,为客户提供全方位的数据安全和用户隐私防护。